鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

MinIO效劳器端请求伪造误差（CVE-2021-21287）

宣布时间 2021-02-03

0x00 误差概述

CVE ID	CVE-2021-21287	时间	2021-02-03
类型	SSRF	等级	高危
远程使用	是	影响规模

0x01 误差详情

简述

MinIO是一个基于Apache License v2.0开源协议的工具存储效劳。。。。。。它兼容亚马逊S3云存储效劳接口，，，，适用于存储大容量非结构化的数据（如图片、视频、日志文件、备份数据和容器/虚拟机镜像等），，，，作为一款支持安排在私有云的开源工具存储系统，，，，MinIO在全球被普遍使用。。。。。。

2021年02月03日，，，，phith0n果真披露了MinIO中的一个效劳器端请求伪造误差（CVE-2021-21287），，，，其CVSS评分7.7。。。。。。由于MinIO组件中LoginSTS接口设计不当，，，，导致保存效劳器端请求伪造误差。。。。。。攻击者可以通过结构URL来提倡效劳器端请求伪造攻击，，，，乐成使用此误差的攻击者能够通过使用效劳器上的功效来读取、更新内部资源或执行恣意下令。。。。。。该误差无需用户验证即可远程使用，，，，现在已被修复。。。。。。

误差细节

MinIO组件中LoginSTS接口着实是AWS STS登录接口的一个署理，，，，用于将发送到JsonRPC的请求转酿成STS的方法转发给外地的9000端口。。。。。。

// LoginSTS - STS user login handler.

func (web *webAPIHandlers) LoginSTS(r *http.Request, args *LoginSTSArgs, reply *LoginRep) error {

ctx := newWebContext(r, args, "WebLoginSTS")

v := url.Values{}

v.Set("Action", webIdentity)

v.Set("WebIdentityToken", args.Token)

v.Set("Version", stsAPIVersion)

scheme := "http"

// ...

u := &url.URL{

Scheme: scheme,

Host: r.Host,

}

u.RawQuery = v.Encode()

req, err := http.NewRequest(http.MethodPost, u.String(), nil)

// ...

}

由于逻辑设计不当，，，，MinIO会将用户发送的HTTP头Host中获取到地点作为URL的Host来结构新的URL。。。。。。但由于请求头是用户可控的，，，，以是可以结构恣意的Host，，，，最终导致保存SSRF误差。。。。。。

影响规模

MinIO < RELEASE.2021-01-30T00-20-58Z

0x02 处置惩罚建议

现在该误差已被修复，，，，建议升级至RELEASE.2021-01-30T00-20-58Z。。。。。。

下载链接：

https://github.com/minio/minio/releases/tag/RELEASE.2021-01-30T00-20-58Z

解决要领

设置情形变量“ MINIO_BROWSER = off”。。。。。。

0x03 参考链接

https://mp.weixin.qq.com/s/X04IhY9Oau-kDOVbok8wEw

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21287

https://nvd.nist.gov/vuln/detail/CVE-2021-21287

0x04 时间线

2021-02-02 phith0n披露误差

2021-02-03 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】